응용 프로그램 액세스 제어용 LDAP, 얼마나 제어해야합니까?

Question

전구체 : 저는이 문제에 대해 서로 다른 두 가지 환경에서 일했습니다. 나는 경쟁 아이디어를 개략적으로 설명하고 시나리오가 주어진다면 '올바른'것을 알고 싶습니다.

시나리오 : 인트라넷에 여러 응용 프로그램이 있습니다. LDAP를 인증 제어 및 사용자 디렉토리로 사용하여 OpenSSO를 구현하고 있습니다. 이 문제는 인트라넷에서 사용자가 허용되지만 응용 프로그램이 의심 스럽다는 것을 알고있는 LDAP 인증을 통해 문제가됩니다.

우리는 역할의 상당한 양입니다 각 사용자가 각각의 응용 프로그램 내에서, 즉, 헬프 데스크, 컨설턴트의 검토, 보고서 생성기, 설문 조사 작성자 등 문제가 있다는 점에서 발생

를 액세스 할 수있는 응용 프로그램을 제어하기 위해 LDAP를 사용하려면 사람들이 여러 역할을 할 수 있다는 사실을

이 두 번째 영역을 처리하는 가장 좋은 방법은 무엇입니까? Shadowl 모든 역할은 LDAP 또는 좀 더 세분화 된 역할을 포함하는 각 응용 프로그램 데이터베이스와 함께 응용 프로그램 수당에 있어야합니까?

Answer 1

한 가지 방법은 LDAP를 사용하여 상대적으로 높은 수준의 역할 정보를 유지하지만 각 응용 프로그램 내부의 매우 상세한 응용 프로그램 별 정보를 유지하는 것입니다.

예를 들어 개인은 "직원", "헬프 데스크 직원", "헬프 데스크 관리자"등과 같은 LDAP 그룹 (역할)의 구성원 일 수 있으며 개별 응용 프로그램은 상위 역할 응용 프로그램 특정 기능으로 변환합니다. 특히 높은 수준의 역할은 여러 응용 프로그램에 대한 액세스를 의미 할 수 있으며 다른 역할은 다양한 액세스 수준을가집니다.

예를 들어 "헬프 데스크 직원"이 티켓을 만들 수는 있지만 감독자 만 보고서를 삭제하거나 보고서를 실행할 수 있습니다.

올바른 대답이없는 분야 중 하나입니다. LDAP의 모든 것을 중앙 집중화하면 개인의 액세스를보고/감사하는 능력이 향상됩니다. 많은 애플리케이션 별 데이터로 중앙 LDAP 스키마가 복잡해집니다. 또한 통합하려는 기존/상업용 응용 프로그램에 따라 응용 프로그램이 LDAP에서 모든 세분화 된 액세스 정보를 가져 오는 것을 지원하지 않을 수 있습니다.